生物识别安全协议

生物识别安全协议本协议由以下双方于______年______月______日起签订：甲方（数据控制方/使用方）：[甲方全称]注册地址：[甲方注册地址]统一社会信用代码/身份证号：[甲方统一社会信用代码/身份证号]乙方（技术提供方/服务方）：[乙方全称]注册地址：[乙方注册地址]统一社会信用代码/身份证号：[乙方统一社会信用代码/身份证号]鉴于：1.甲方因业务需要，拟使用生物识别技术进行[具体应用场景，如：员工身份验证、客户身份核验等]；2.乙方拥有相关生物识别技术及系统，能够为甲方提供生物识别数据的采集、处理、存储及相关服务；3.甲乙双方经友好协商，依据《中华人民共和国个人信息保护法》、《中华人民共和国网络安全法》等相关法律法规，就生物识别数据的安全处理事宜，达成如下协议，以资共同遵守。第一条定义1.1本协议所称“生物识别数据”是指通过分析和比较人体生物特征进行身份识别所获取的数据，包括但不限于指纹、人脸、虹膜、视网膜、声音、步态、静脉等生物特征信息及其对应的模板数据。具体数据类型包括：[列明具体数据类型，如：指纹图像、人脸特征模板、声纹样本等]。1.2本协议所称“数据主体”是指提供生物识别信息的个人。1.3本协议所称“数据收集”是指通过可识别个人身份的技术手段获取生物识别信息的行为。1.4本协议所称“数据存储”是指将生物识别数据记录在某种媒介上并保存的行为。1.5本协议所称“数据传输”是指将生物识别数据从一方传输至另一方或第三方的行为。1.6本协议所称“安全措施”是指为保障生物识别数据安全所采取的技术和管理措施。第二条数据主体的权利与甲方义务2.1甲方应向数据主体充分、清晰、具体地告知以下事项：(a)处理生物识别数据的目的是[明确具体处理目的]；(b)处理所依据的法律依据；(c)所处理的生物识别数据类型；(d)数据存储的期限；(e)数据主体的权利以及行使权利的途径；(f)第三方接收数据的情形（如适用）；(g)数据安全发生风险时甲方应采取的补救措施；(h)其他法律法规要求告知的事项。2.2甲方在进行数据收集前，应取得数据主体的单独同意。同意方式应明确、易懂，并确保数据主体有充分的时间考虑。数据主体有权撤回其同意，甲方应在收到撤回同意后，根据法律法规和本协议约定停止处理其生物识别数据，并采取必要的补救措施。2.3甲方应采取必要措施，确保数据主体的生物识别数据在采集、传输、存储和处理过程中的安全，防止数据泄露、篡改、丢失。甲方应对接触生物识别数据的员工进行保密培训和管理。2.4甲方仅可将生物识别数据用于本协议约定的目的，不得用于其他用途，不得非法转让、出售或泄露给任何第三方，除非获得数据主体的明确书面同意或法律法规要求。2.5甲方应建立生物识别数据安全管理制度，定期进行安全风险评估，并采取加密存储、访问控制、安全审计等技术和管理措施，保障生物识别数据的安全。第三条数据收集与采集3.1甲方应在获得数据主体明确同意的前提下进行生物识别数据的收集。3.2甲方应使用符合国家相关标准、安全性可靠的采集设备进行数据收集，确保采集过程的准确性和安全性。3.3甲方应设置清晰的提示信息，告知数据主体正在收集其生物识别数据，并确保数据主体在知晓的前提下配合采集。3.4采集设备应具备防止录音、录像、拍照等附加采集功能，或在采集现场采取相应措施防止无关人员窥视。第四条数据存储与安全保护4.1甲方应将生物识别数据存储在具有足够安全防护能力的环境中，并采取以下安全措施：(a)对生物识别数据进行加密存储，采用行业认可的加密算法；(b)实施严格的访问控制，只有经过授权的人员才能访问生物识别数据，并记录所有访问日志；(c)定期对存储系统和安全措施进行漏洞扫描和风险评估；(d)根据业务需要和法律法规要求，对生物识别数据进行匿名化或去标识化处理。4.2甲方应确定生物识别数据的存储期限，存储期限应为实现处理目的所必需的最短时间。存储期限届满后，甲方应按照法律法规和本协议约定，安全删除或匿名化处理生物识别数据，并确保无法复原。4.3如因业务需要或法律法规要求需将生物识别数据委托给第三方存储或处理（以下简称“数据处理方”），甲方应事先获得数据主体的单独同意，并与数据处理方签订书面协议，明确数据处理方的责任和义务，确保数据处理方的安全保护水平不低于本协议要求。甲方对数据处理方仍负有监督和管理责任。第五条数据处理与使用5.1甲方对生物识别数据的使用不得超出本协议约定的目的范围。5.2甲方应确保生物识别数据仅用于验证个人身份、授权访问、提供服务等特定目的。5.3未经数据主体同意，甲方不得将生物识别数据与其他个人信息进行关联，或用于商业目的。第六条数据共享与披露6.1甲方原则上不得将生物识别数据共享或披露给任何第三方，除非：(a)获得数据主体的明确书面同意；(b)为履行本协议约定而必须与第三方共享，且已确保该第三方遵守不低于本协议标准的安全和保护义务；(c)依据法律法规或国家有关规定需要披露。6.2在前款(b)情况下，甲方应在共享前告知数据主体共享的目的、范围、期限以及第三方的名称和联系方式。6.3甲方应对任何接受其生物识别数据共享或披露的第三方承担连带责任。第七条数据传输（如适用）7.1如本协议项下涉及将生物识别数据传输至中华人民共和国境外，甲方应确保：(a)该境外接收方所在国家或地区提供的数据保护水平充分，或已通过国家网信部门的安全评估，或已采取有效的合同约束措施（如签订标准合同条款或具有约束力的公司规则）；(b)传输行为符合《个人信息保护法》等法律法规关于数据出境的规定。7.2甲方应在数据传输前进行必要的风险评估，并采取加密、假名化等保护措施。第八条数据主体权利行使机制8.1数据主体可依法向甲方查询其本人的生物识别数据，了解相关处理情况。8.2数据主体可依法要求甲方更正其生物识别数据中的错误信息。8.3数据主体在符合法律法规规定情形下，可依法要求甲方删除其生物识别数据。8.4甲方应在收到数据主体行使权利的请求后，在法律法规规定的期限内响应并处理。甲方应提供便捷的途径供数据主体行使上述权利。第九条安全事件响应与通知9.1甲方应建立生物识别数据安全事件应急预案，并在发生或可能发生数据泄露、篡改、丢失等安全事件时，立即启动应急预案，采取补救措施，防止损害扩大。9.2甲方应在安全事件发生后[具体时限，如：72小时内]向数据主体告知事件的基本情况、可能造成的影响以及采取的或拟采取的补救措施。如事件可能对数据主体的权益造成严重损害，甲方应在评估后立即通知。9.3如发生安全事件，甲方应在[具体时限，如：48小时内]向其所在地的网信部门备案，并根据法律法规要求向相关部门报告。第十条合规与法律要求10.1甲乙双方均应遵守所有适用于本协议及其履行相关的法律、法规和标准，包括但不限于《中华人民共和国个人信息保护法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等。10.2甲方应确保其处理生物识别数据的行为符合相关法律法规的要求。第十一条责任与救济11.1任何一方违反本协议约定，给对方造成损失的，应承担赔偿责任。11.2如因甲方原因导致生物识别数据泄露、丢失或被滥用，给数据主体造成损失的，甲方应依法承担赔偿责任。乙方在明知或应知甲方存在前述违约行为的情况下，仍向甲方提供服务的，应在合理范围内承担连带责任。11.3任何一方因不可抗力导致无法履行本协议的，不承担违约责任，但应在不可抗力消除后尽快通知对方，并采取补救措施。第十二条协议期限与终止12.1本协议有效期自双方签字或盖章之日起生效，有效期为[年数]年。12.2协议期满前[月数]个月，如双方均有意续约，应另行协商签订续约协议。12.3协议在下列情况下终止：(a)协议有效期届满，双方未续签；(b)双方协商一致同意终止；(c)一方严重违约，另一方根据本协议约定解除协议；(d)因不可抗力导致协议无法继续履行。12.4协议终止或解除后：(a)甲方仍有义务按照法律法规和本协议约定，对已收集的生物识别数据进行安全存储和保护，直至其存储期限届满并完成删除或匿名化处理；(b)甲方应根据数据主体的要求，在其本人死亡后[年数]年内，或直至其权利能力终止，根据法律法规和本协议约定，提供必要的协助，以使数据主体的继承人或权利义务承继人能够行使数据主体的相关权利；(c)双方应结清所有未了结的款项和事务。第十三条保密条款13.1甲乙双方应对在本协议履行过程中获知的对方的商业秘密、技术信息以及客户的个人信息（包括生物识别数据）等保密信息承担保密义务。13.2未经对方书面同意，任何一方不得向任何第三方泄露、使用或允许他人使用保密信息，但法律法规另有规定或为履行本协议所必需的除外。13.3本保密义务不因本协议的终止而失效，持续有效[年数]年。第十四条知识产权14.1乙方为履行本协议而提供的软件、系统或技术方案所涉及的知识产权，归乙方所有。甲方仅获得根据本协议约定的使用许可，不得超出许可范围使用。14.2甲方自行开发或提供的与生物识别数据相关的系统或技术，其知识产权归甲方所有。乙方不得未经甲方许可，擅自使用或提供给第三方。第十五条完整协议15.1本协议构成甲乙双方就本协议标的事项达成的完整协议，取代双方此前就此达成的所有口头或书面的协议、谅解或安排。15.2对本协议的任何修改或补充，均应以书面形式作出，并经双方签字或盖章后生效。第十六条修订16.1对本协议的修订，需经双方协商一致，并以书面形式作出补充协议。补充协议与本协议具有同等法律效力。第十七条通知17.1双方在本协议首页载明的地址、联系人及联系方式为有效联系方式。任何一方变更联系方式，应提前[日数]日书面通知对方。17.2双方通过书面形式（包括但不限于专人递送、挂号信、电子邮件、传真等）发送给对方的任何通知，在送达时视为有效送达。第十八条法律适用与管辖18.1本协议的订立、效力、解释、履行及争议解决，均适用中华人民共和国